一种基于离散小波变换的时间式网络隐信道构建方法与流程

本发明涉及一种基于离散小波变换的时间式网络隐信道构建方法，属于网络信息安全技术领域。

背景技术：

计算机网络技术的迅猛发展为信息的共享和传输带来了极大便利，但与此同时，信息泄露、网络攻击等安全问题也日趋显著。秘密消息(如涉及国家、军事机密、商业秘密、个人隐私等)的通信过程面临着极大的安全威胁和隐患。传统的解决方法利用密码学技术对信息进行加密，使攻击方无法获取其内容，但杂乱无章的密文足以提供有利证据。

网络隐信道作为隐写技术的一种，是将正常网络通信数据流作为载体，采用各种方式将秘密消息调制到其中的一种隐蔽通信技术，旨在隐藏通信行为的存在性。相比于利用图片、音频、视频和文本等作为信息隐藏载体的静态多媒体隐写，网络隐信道可隐藏在兼具随机性和动态性的海量网络数据流中，并且能够绕开防火墙、入侵检测等安全监测设备，具有较强的隐蔽性。因此，网络隐信道成为了继密写术之后的另一种更优越的安全通信方式。

按照信息隐藏的不同方式，网络隐信道可分为存储式和时间式隐信道两大类。存储式隐信道利用tcp/ip各层协议的冗余字段或通信行为方式来传递秘密消息，此类方法简单易于实现，但由于对tcp/ip协议的全面解析和算法公开，现有的隐信道对抗技术已能对其进行有效检测。时间式隐信道则是将秘密消息调制到与网络数据流传输时间相关的行为中，较存储式隐信道隐蔽性更佳。通常时间式隐信道方法包含三类：on-off隐信道、基于包间时延的隐蔽信道，以及基于包排序或组合的隐蔽信道。其中，基于包间时延的隐蔽信道是目前的研究热点之一，受到了广泛关注。但现有的此类算法大多会产生异常数据流或特征，其原因在于秘密消息的嵌入改变了正常载体数据流的固有通信时间属性，增加了被攻击方检测分析的概率。此外，在时间式隐信道中，通信双方的同步较为困难，因其易受不稳定网络环境的影响，比如延时、抖动等噪声干扰。为了保证通信可靠性，目前一般采用类似tcpacks的确认机制或纠错编码，但这些同步机制的引入往往会增加算法的复杂性和传输开销，降低隐信道带宽。

技术实现要素：

本发明主要解决的技术问题：为了克服现有基于包间时延隐信道算法的不足，提高通信隐蔽性，本发明提供了一种基于离散小波变换(discretewavelettransform,dwt)的时间式隐信道方法。不同于以往算法直接在时域修改载体数据流，本发明将秘密消息嵌入正常包间时延(inter-packetdelay,ipd)序列的小波域系数中，并通过控制嵌入位置和强度，尽可能减小对原始载体及其特性的时域改动，使产生的隐蔽通信数据流具备正常的规律和特征，以提高其抗检测性；同时，采用奇偶量化方法将秘密消息比特嵌入小波分解的部分近似系数中，在不引入额外同步开销的基础上，本发明能够抵抗一定程度的网络噪声干扰。

为了解决上述技术问题，本发明采用的技术方案是：

本发明的隐蔽通信模型如附图1所示。秘密消息的编码过程如下，见附图2：

步骤1：首先，采集正常网络通信数据流样本，通过时间戳提取并计算相邻数据包的时间间隔(包间时延ipd)。其次，将正常ipd序列划分为多个分段用于后续处理。定义δt为一个ipd序列分段δt＝{δt1,δt2,···,δtl}，l代表其大小。秘密消息se为二进制编码的数据流。

步骤2：对原始载体数据流δt(正常包间时延序列)进行三级小波分解。分解结果可用公式(1)表示，其中ca3代表其三级小波分解的近似系数，定义ca3＝{ca3(1),ca3(2),···,ca3(n)}(n＝l/2³)，n为近似系数个数；cd1、cd2和cd3分别对应一级、二级和三级小波分解的细节系数。

便于更好理解，附图4给出了本发明中一个较佳的实施例结果——正常网络数据流的三级小波分解结果。该例中选用了一种常见的p2p语音通讯应用——yy语音(yy-audio)作为隐蔽通信载体，并且将l设置为500。从图中可直观的看出，分解后的近似系数ca3明显大于其他频段系数。因此可知，正常网络通信数据流的能量主要集中于低频区域，我们将其选择为秘密消息的嵌入位置。

步骤3：将秘密消息se划分为若干个大小为m的比特串，其中m≤n，se为其中一个秘密比特。采用奇偶量化法将秘密消息比特se调制到三级小波分解的近似系数ca3中，此过程如公式(2)表示：

其中，fencode为编码函数，ca3′代表修改后的近似系数；[·]表明四舍五入运算函数；此外，参数m用于减小对载体的修改，当ca3(i)小于[ca3(i)]时，将m置为1，否则m设置为0。

步骤4：对修改后的小波系数进行逆变换，以重构得到含秘数据流δts，如公式(3)所示：

隐蔽通信一方按照新的含秘ipd发送网络数据包。接收方根据以下步骤解码获取秘密消息，如附图3所示：

步骤1：根据所收到数据包的时间戳提取ipd信息，定义其中一个序列为δtr(考虑网络噪声的干扰，δtr与δts长度相等，但数值并不一定完全等同)。

步骤2：根据公式(1)和(2)对隐信道时延序列δtr进行三级小波分解，结果如公式(4)所示：

其中，为三级小波分解的近似系数，和分别对应一级、二级和三级小波分解的细节系数。

步骤3：对近似系数进行模2运算，若结果为0则解码为秘密比特‘0’，若结果是1则提取比特‘1’，具体见公式(5)，其中fdecode代表解码函数，为接收方提取的秘密消息比特：

不同于以往方法直接在时域修改载体数据流，本发明将秘密消息嵌入正常ipd序列的小波域系数中，并通过控制嵌入位置和强度，尽可能减小对原始载体及其特性的时域改动；所产生的隐蔽通信数据流具备正常的规律和特征，具有更好的抗检测性(隐蔽性)。同时，采用奇偶量化方法将秘密消息比特嵌入小波分解的部分近似系数中，在不引入额外同步开销的基础上，本发明能够抵抗一定程度的网络噪声干扰，具有较好的鲁棒性。

附图说明

图1为本发明的基于离散小波变换(dwt)的时间式隐信道模型；

图2为本发明的编码算法流程图；

图3为本发明的解码算法流程图；

图4为本发明的实施例中正常ipd序列的三级小波分解结果；

图5为本发明的实施例中本发明和jitterbug方法的误码率(ber)对比图。

具体实施方式

实施例1

(1)隐蔽通信实施过程

利用本发明所提出的一种基于离散小波变换(dwt)的时间式隐信道方法，双方具体的隐蔽通信过程如下：

①隐蔽通信发送方

步骤1：在windows7操作系统下，利用winpcap和visualc++6.0软件搭建基于ipd的隐信道通信平台，捕获正常网络通信数据流。在本实施例中，选取目前占据主要数据流量的p2p网络应用——yy语音，作为隐信道的载体应用。在不同的实施例中，可根据具体情况选取其他合适载体。

步骤2：通过时间戳提取正常包间时延ipd，并将该序列划分为多个长度l为500分段，记其中一个ipd分段为δt＝{δt1,δt2,···,δt500}。

步骤3：对δt进行三级小波分解，得到其三级小波分解的近似系数ca3。其中ca3＝{ca3(1),ca3(2),···,ca3(62)}，具体分解结果如附图4所示。

步骤4：将秘密消息se划分为若干个大小为60的比特串，se为其中一个秘密比特。采用奇偶量化法，如公式(2)所示，将秘密消息比特se调制到三级小波分解的近似系数ca3中。

步骤5：利用编码函数，如公式(3)所示，对修改后的系数(ca3′、cd3、cd2、cd1)进行小波逆变换，以重构得到新的含秘ipd——δts。

步骤6：根据含秘ipd，利用winpcap设计网络数据包发送程序，发送至接收方ip及对应端口。

②隐蔽通信接收方

步骤1：根据所收到数据包的时间戳提取ipd信息，定义其中一个序列为δtr(考虑网络噪声的干扰，δtr与δts长度相等，但数值并不一定完全等同)。

步骤2：根据公式(1)和(2)对隐信道时延序列δtr进行三级小波分解，结果如公式(4)所示：

其中，为三级小波分解的近似系数，和分别对应一级、二级和三级小波分解的细节系数。

步骤3：对近似系数进行模2运算，若结果为0则解码为秘密比特‘0’，若结果是1则提取比特‘1’，具体见公式(5)，其中fdecode代表解码函数，为接收方提取的秘密消息比特：

(2)实施效果

为了验证本发明的有效性，在具体实施例中与两种现有典型方法(jitterbug和ctcdm)进行了性能对比实验，主要对隐信道的鲁棒性和隐蔽性(抗检测性)进行了定量评价。

在实验中，正常网络通信的载体数据流采集于校园网中的核心路由器，为两台局域网内主机进行yy语音通讯的数据。本发明的隐信道数据流来源于上述隐蔽通信过程，jitterbug和ctcdm隐信道数据流为在本实验条件下，还原其算法后所生成的数据。

①鲁棒性对比

实验中，向隐信道数据流中分别注入了不同功率的噪声，所选加性高斯白噪声用于模拟正常网络信道噪声。而噪声功率则用信号-噪声比(signal-to-noiseratio,snr)来衡量(信号功率值固定)。附图5对比了本发明和jitterbug隐信道数据流在不同信噪比下的误码率，其中，信噪比的变化范围在0至70分贝(db)之间。从结果中可以看出，当信噪比在40db以上时，本发明所提方法可抵抗噪声引起的畸变而完全正确解码秘密消息；并且当信噪比在30db以上时，同样可以较为准确地提取信息，误码率控制在10％以下。当信噪比在50db以下时，jitterbug的误码率明显大于本发明；而当信噪比降低至35db以下时，jitterbug彻底丧失了解码能力，误码率在50％左右，与随机猜测无异。因此，这就表明当噪声功率小于10-⁴倍信号功率时，本发明可抵抗噪声干扰而准确、可靠地传输秘密消息，相比jitterbug具有更好的鲁棒性。

②隐蔽性对比

实验中使用了一种目前主流的隐信道检测方法——k-s(kolmogorov-smirnov)检测，对本发明及jitterbug、ctcdm隐信道分别进行测试。该方法旨在区分隐信道数据流的异常统计分布特征。k-s(kolmogorov-smirnov)检测用于衡量两个不同分布之间的最大距离，较小的距离表明两分布相互接近。k-s检测值的计算方法如公式(6)所示：对于所有x，求出两个经验分布之间绝对差的最大值。

kstest＝sup|s1(x)-s2(x)|(6)

其中，s1(x)和s1(x)是指两个样本的经验分布函数。据此，本实施例中分别按照500和1000的窗口大小对100个隐信道数据流进行检测，具体检测结果在表1中给出。观察发现，正常数据流的虚警率随阈值增高而上升。在不同阈值设置下，该方法能够完全检测ctcdm隐信道数据流，并且对jitterbug数据流窗口的检测率高达0.9以上；但对本发明隐信道窗口的检测率却不足0.06，这就表明k-s方法无法有效检测本发明产生的隐信道数据流。

通过本实施例中的实验结果，表明本发明具有更好地隐蔽性和鲁棒性，提供了一种有效的隐蔽通信方法。

表1在不同阈值下隐信道数据流的k-s检测结果

虽然本发明已以较佳实施例公开如上，但其并非用以限定本发明，任何熟悉此技术的人，在不脱离本发明的精神和范围内，都可做各种的改动与修饰，因此本发明的保护范围应该以权利要求书所界定的为准。